CVE-2019-16254: WEBrick'te HTTP yanıtı ayırma (Ek düzeltme)

mame tarafından 01.10.2019 tarihinde gönderildi
Çeviri: İsmail Arılık

Ruby ile paketlenmiş WEBrick’te bir HTTP yanıtı ayırma güvenlik açığı vardır. Bu güvenlik açığı CVE-2019-16254‘e atanmıştır.

Ayrıntılar

Eğer WEBrick kullanan bir program, yanıt başlığına güvenilmeyen bir girdi eklerse, bir saldırgan bir başlığı ayırmak için bir yeni satır karakteri eklemek için bunu kullanabilir, böylece istemcileri kandırmak için zararlı içerik ekleyebilir.

Bu açık CVE-2017-17742 ile aynıdır. Önceki düzeltme tam değildi, sadece CRLF vektörü içindi, fakat soyutlanmış bir CR ya da LF’yi kapsamıyordu.

Etkilenen bir sürümü koşan tüm kullanıcılar en kısa zamanda yükseltme yapmalıdır.

Etkilenen Sürümler

• Ruby 2.3 ve öncesindeki tüm sürümler
• Ruby 2.4 serisi: Ruby 2.4.7 ve öncesi
• Ruby 2.5 serisi: Ruby 2.5.6 ve öncesi
• Ruby 2.6 serisi: Ruby 2.6.4 ve öncesi
• Ruby 2.7.0-preview1
• 3ce238b5f9795581eb84114dcfbdf4aa086bfecc master işlemesinden öncesi

Teşekkür

Bu güvenlik açığını keşfettiği için znz‘ye teşekkür ederiz.

Geçmiş

• İlk olarak 2019-10-01 11:00:00 (UTC) tarihinde yayınlandı.